페이스북 모의침투 연구회에서 매번 같은 질문이 올라와서 이참에 정리해둔다. Storage media acquisitionStorage media analysis and reportingWindows Evidence CollectionData recoveryPassword recoveryNetwork forensicMemory forensicMobile forensic 링크https://www.digi77.com/the-little-secret-on-digital-forensics/ 링크http://www.yes24.com/24/goods/38136197?scode=032&OzSrank=10 링크http://www.deftlinux.net/download/ 링크http://forensic-proof.com..

기출 복원입니다. 가답안이니 틀렸을 경우 댓글로 알려주세요~^^ 1. TCP 포트가 닫혀 있을 때 응답이 오는 스텔스 스캔 3가지NULL Scan, FIN Scan, Xmas Scan 2. FTP 동작 방식에 대한 지문에 대한 빈칸 채우기FTP는 ( A ) 모드와 수동(passive)모드가 있다.( A )는 통신 제어를 위한 ( B ) 포트와 데이터 전송을 위한 ( C ) 포트를 사용한다.수동모드에서는 데이터 전송을 위해 서버에서 ( D ) 포트 이상을 사용한다. A: ActiveB: 21C: 20D: 1024 3. 오픈 소스 도구인 PacketFense와 같이 네트워크 통제(이외에도 기다란 설명이 있음) 등을 수행하는 보안솔루션은? NAC 4. VLAN의 목적에 대한 질문.VLAN은 네트워크 자원 사용..

이번 포스팅은 침투당한 후 어떻게 의심스러운 로그를 발견하는가에 초점을 맞추어 진행해보겠다. 웹서버 환경은 우분투 14.04.1 에 APM으로 구축한 쇼핑몰이며 VMWare로 직접 올렸다. 문득 리눅스 웹서버가 열일(?)하는것 같아 top를 해보았다. 그런데 아래와같이 CPU를 최대자원으로 사용하고 있었다. 저번에 리눅스 비트코인 분석할 때도 마찬가지 증세를 보이며 느려진 적이 있었기에 악성코드 감염을 의심하였다. 먼저cat /var/log/syslog syslog의 끝자락에서 의심스러운 로그를 발견하였다. 역시 crontab 에서 백그라운드로 작업하는 명령어가 등록되어있었다. root 계정으로 crontab을 확인 할 때에는 crontab -e -u [유저] 형식으로 확인할 수 있다. 역시나 백그라운드..

mysql에서 OS command를 실행할 수 있는 방법출처 : https://github.com/mysqludf/lib_mysqludf_syshttps://m.blog.naver.com/PostView.nhn?blogId=blueaian&logNo=220651510889&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F : lib_mysqludf_sys.c 만 받으면 됨 소스 복사> cp lib_mysqludf_sys.c /usr/local/mysql/include/ cd /usr/local/mysql/include컴파일> gcc -m64 -fPIC -Wall -I/usr/include/mysql -I. -shared lib_mysqludf_sys.c -o /usr/l..

먼저 wpscan을 업데이트 하는 방법은 wpscan --update 이다. 하지만 아래와 같이 오류가 뜰때가 있다. 칼리 기준 스캔 시도할 시 오류가 뜰 때 root@kali:/usr/share/wpscan# ./wpscan.rb -u whackur.com _______________________________________________________________ __ _______ _____ \ \ / / __ \ / ____| \ \ /\ / /| |__) | (___ ___ __ _ _ __ ® \ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \ \ /\ / | | ____) | (__| (_| | | | | \/ \/ |_| |_____/ \___|\__,_|_| |_..

몸캠 피싱에 걸린 불쌍한 이들을 위해서..... 사용법 : 1. 컴퓨터에 자바가 설치되어 있어야 한다. cmd에서 'java -version' 을 입력한 후 자바가 설치되어 있지 않다면 알아서 설치. 2. 분석하고 싶은 APK 파일을 decode.apk로 이름을 바꾼 후 압축을 푼 폴더에 넣는다. 3. decode.bat을 실행시킨다. 4. 두 쌍(경우에 따라 한 쌍)의 문자열이 나타난다. 각 쌍의 위의 것이 gmail 아이디고, 아래 것이 비밀번호이다. (뒤바꾸어 놓았을 경우도 있음) 그럼 이제 구글 gmail로 로그인 하면 피싱당한 이들의 정보를 볼 수 있을 것이다. 삭제 후 구글계정 탈퇴 등의 조취를 취하라. 다운로드 : 압축해제 비밀번호 : whackur.tistory.com 해당 방법은 apk파..